Z ogromną przyjemnością pragniemy poinformować Państwa, że Mediporta Sp. z o.o., w wyniku audytu przeprowadzonego przez niezależnych inspektorów, otrzymała certyfikat potwierdzający zgodność z normą ISO/IEC 27001:2013 (międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji), wydany przez jednostkę certyfikującą SGS Polska Sp. z o. o. (www.sgs.pl).

Systemowy znak certyfikacji SGS (ISO/IEC 27001)

Pełen zakres rejestracji otrzymanego certyfikatu:

Projektowanie i instalowanie nowych systemów informatycznych i nadzorowanie baz danych. Produkcję, dostarczanie, uruchamianie, szkolenia i wdrażanie systemów informatycznych KAMSOFT. Utrzymywanie systemów informatycznych i realizację stałego serwisu eksploatacyjnego. Projektowanie, wykonywanie i serwis sieci strukturalnych oraz instalacji niskoprądowych. Prowadzenie sprzedaży hurtowej i detalicznej sprzętu i oprogramowania. Świadczenie usług doradczych w zakresie IT. Zgodnie z deklaracją stosowania z dnia 03.03.2015, wersja 4.0.

Czym jest norma ISO?

Norma ISO/IEC 27001:2013 jest zbiorem praktyk, podzielonych na kilkanaście obszarów, które wpływają na bezpieczeństwo informacji w organizacji. Wśród nich są m.in.:

Norma stanowi podstawę rozwiązania związanego z bezpieczeństwem informacji jakim jest standard SZBI (System Zarządzania Bezpieczeństwem Informacji). SZBI to podejście systemowe określające w sposób kompleksowy kwestię zarządzania poszczególnymi aktywami informacyjnymi, infrastrukturą wykorzystywaną do ich przetwarzania oraz ryzykiem związanym z bezpieczeństwem informacji. Szerokie spektrum ustanowionych, wdrożonych, stale monitorowanych, weryfikowanych i udoskonalanych zabezpieczeń w ramach SZBI, ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa informacji oraz ciągłości działania organizacji i realizowanych przez nią procesów biznesowych. Na koniec warto dodać, że norma ISO/IEC 27001:2013 stanowi niekwestionowany wzorzec rzetelnego podejścia do zapewnienia bezpieczeństwa informacji, w tym ochrony danych wrażliwych.

Certyfikacja ISO, a przepisy RODO

Cechą charakterystyczną dla regulacji zawartych w RODO jest wprowadzenie zasady, w świetle której celem zwiększenia przejrzystości i poprawy przestrzegania Rozporządzenia, rekomenduje się między innymi ustanowienie mechanizmów certyfikacji w dziedzinie ochrony danych. Dzięki temu możliwa jest szybka ocena stopnia ochrony danych, w związku ze świadczonymi przez daną organizację usługami i produktami. Stanowi o tym między innymi motyw nr 100 Rozporządzenia.

Spółka Mediporta w relacji z Klientami, świadcząc usługi informatyczne i udostępniając oprogramowanie w modelu usługowym SaaS (Software as a Service), wdrażając System Zarządzania Bezpieczeństwem Informacji (zgody z normą ISO/IEC 27001:2013) objęła nim szereg procesów związanych z przetwarzaniem danych w tym także te, które są związane z RODO. Są to procesy dotyczące przetwarzania danych, wobec których Mediporta występuje zarówno w roli administratora danych (ADO), jak i podmiotu przetwarzającego dane (procesora), których administratorem jest określony Klient (o rolach w procesie przetwarzania danych pisaliśmy w jednym z wcześniejszych artykułów). Proces dostosowywania do przepisów RODO oraz monitorowanie i wdrażanie zaleceń wynikających z wprowadzenia rozporządzenia w życie przebiega w Spółce Mediporta równolegle w dwóch obszarach.

  1. Pierwszym obszarem jest analiza ryzyka związanego przetwarzaniem danych osobowych i medycznych w systemie Mediporta. Skutkiem tego jest dobór odpowiednich mechanizmów zabezpieczających oraz chroniących dane osobowe i medyczne pacjentów, które są przetwarzane w systemie.
  2. Drugim, równie ważnym obszarem jest analiza ryzyka związanego z zabezpieczeniem danych osobowych w obrębie firmy Mediporta, która w celu zapewnienia odpowiedniego poziomu świadczonych usług (określonych w umowie) oprócz danych przetwarzanych w systemie, przetwarza również dane osobowe swoich Klientów.

Zarówno w pierwszym jak i w drugim przypadku, efektem analizy (która uwzględnia źródło, charakter, prawdopodobieństwo i wagę zagrożenia) jest dobór odpowiednich środków organizacyjnych i technicznych, w celu odpowiedniego zabezpieczenia przetwarzanych danych.

Zwracamy jednak uwagę, iż zapewnienie bezpieczeństwa informacji i danych oraz tworzonego oprogramowania należy rozumieć i traktować, jako proces ciągły, mający na celu dostosowanie się do stale zmieniających się uwarunkowań i przepisów, a nie jako spełnienie zamkniętego katalogu określonych wymagań. W chwili obecnej taki „zamknięty katalog wymagań” nie istnieje, albowiem RODO prezentuje podejście dotyczące ochrony danych osobowych oparte o szacowanie ryzyka w konkretnych stanach faktycznych (kontekstach) i uwzględniające kwestie zarówno samej ochrony danych, jak również przydatności i ergonomii oferowanych rozwiązań.

Certyfikacja ISO jest więc potwierdzeniem, że dana firma spełnia wymogi RODO w obszarze bezpieczeństwa informacji, ale też wymaga od niej ciągłego podnoszenia standardów obsługi procesów dotyczących przetwarzania danych wrażliwych. Ciągłe podnoszenie bezpieczeństwa jest zapewnione m.in. przez charakter certyfikatu, który wymusza cykliczne audyty przedsiębiorstwa zarówno przez wewnętrznych jak i zewnętrznych – niezależnych audytorów.

Co oznacza otrzymanie certyfikatu przez Mediportę dla jej Klientów?

Otrzymanie i stałe utrzymywanie certyfikacji na zgodność z normą ISO/IEC 27001:2013, weryfikowaną przez niezależny podmiot trzeci, stanowi gwarancję dla Klientów Mediporty, iż powierzone Spółce dane osobowe są zabezpieczone w sposób należyty i przetwarzane w sposób zgodny nie tylko z umową powierzenia i przepisami prawa (w tym z RODO), lecz również w sposób zgodny z uznanymi i niekwestionowanymi normami dotyczącymi bezpieczeństwa informacji (w tym danych osobowych). Wypracowane i stosowane przez nasz zespół procedury, pozwalają zminimalizować ryzyko wystąpienia incydentu związanego z bezpieczeństwem informacji naszych Klientów, jak również narzucają rygorystyczne normy i zasady związane z koordynacją pracy w organizacji, w dwóch wymiarach:

W praktyce oznacza to np., że przesłanie do Mediporty danych wrażliwych w sposób nieodpowiedni będzie skutkowało ich odrzuceniem, z uwagi na wewnętrzne procedury dotyczące przetwarzania i ochrony danych (o prawidłowym przesyłaniu danych wrażliwych do Mediporty pisaliśmy w jednym z wcześniejszych artykułów).

Konsekwentne egzekwowanie przez pracowników Mediporty norm i zasad związanych z bezpieczeństwem danych, gwarantuje wysoki poziom zabezpieczeń i ochrony danych Klientów, a otrzymanie certyfikatu potwierdza, że Spółka Mediporta przetwarza dane w sposób zgodny z wdrożonym Systemem Zarządzania Bezpieczeństwem Informacji i normą ISO/IEC 27001:2013.

Certyfikat jednocześnie potwierdza, że Spółka zarówno jako podmiot przetwarzający dane, jak i administrator danych swoich Klientów, spełnia zalecenia i rekomendacje dotyczące bezpieczeństwa i ochrony danych wynikające z RODO.

Podsumowanie

Wdrożony, utrzymywany i doskonalony System Zarządzania Bezpieczeństwem Informacji (SZBI), zgodny z otrzymaną przez Spółkę Mediporta normą ISO/IEC 27001:2013, jak również analiza ryzyka przeprowadzona w ramach RODO, pozwalają z optymizmem ocenić podejście organizacji do zagadnień związanych z bezpieczeństwem i ochroną danych. To z kolei przekłada się na solidne podstawy działalności firmy i zaufanie jej Klientów, w obszarze związanym z przetwarzaniem szczególnego typu danych, jakimi są dane osobowe i medyczne pacjentów.

Wśród najważniejszych działań w obszarze bezpieczeństwa informacji i ochrony danych, przeprowadzonych przez Spółkę Mediporta, są m.in.:

Zachęcamy również do sprawdzenia innych artykułów dotyczących bezpieczeństwa informacji na naszym blogu: